GitHub vai exigir autenticação em dois fatores para proteger códigos

Até o final de 2023, todos os desenvolvedores que enviam códigos para o GitHub terão que ativar a autenticação em dois passos

Emerson Alecrim
Por
2FA no GitHub (imagem: divulgação/GitHub)

Habilitar a autenticação em dois fatores (2FA, na sigla em inglês) é uma recomendação de segurança válida para qualquer tipo de serviço. Não é diferente com o GitHub. Mas, o que antes era opcional, vai se tornar obrigatório: nesta quarta-feira (4), a plataforma anunciou que todos os usuários que contribuem com código terão que habilitar esse tipo de proteção.

Pode parecer exagero, principalmente para quem usa o GitHub em projetos esporádicos ou pessoais. Mas, quando o assunto é segurança, vale a máxima de que é melhor pecar pelo excesso do que pela falta.

Experiências prévias podem motivar decisões como essa. No caso do GitHub, a plataforma enfrentou incidentes de segurança envolvendo registros NPM (Node Package Manager) no ano passado. Esse é o fator que mais pesou para a exigência de 2FA.

Acho válido a plataforma seguir por esse caminho. O NPM é o principal gerenciador de pacotes para Node.js (e foi adquirido pelo GitHub em 2020). Os pacotes disponíveis por lá são usados em numerosos projetos. Se apenas um deles for violado, centenas, talvez milhares de serviços podem ser afetados de imediato.

Existe um exemplo recente disso, embora não relacionado a uma invasão. Em março, um módulo chamado node-ipc foi sabotado por seu próprio desenvolvedor. De repente, usuários desse pacote passaram a se deparar com mensagens de apoio à Ucrânia em seus sistemas.

Pense, então, no que poderia acontecer se, por força de uma violação, pacotes NPM se tornassem maliciosos. Eles poderiam forçar o download de um malware, por exemplo.

No anúncio oficial, o próprio GitHub alerta sobre esse tipo de perigo:

As contas comprometidas podem ser usadas para roubar código privado ou enviar alterações maliciosas a esse código. Isso coloca em risco não apenas os indivíduos e organizações associados às contas comprometidas, mas também qualquer usuário do código afetado.

Esses ataques têm um grande potencial de impacto em todo o ecossistema de software, assim como na sua cadeia de fornecimento.

2FA no GitHub Mobile

2FA no GitHub (imagem: divulgação/GitHub)
2FA no GitHub (imagem: divulgação/GitHub)

De acordo com o GitHub, hoje, apenas 16,5% dos usuários ativos da plataforma e 6,4% dos que utilizam o NPM usam uma ou mais formas de autenticação em dois fatores. É pouco. Por isso, esse recurso será exigido de todos os usuários que contribuem com código até o final de 2023.

Essa medida se somará a outros mecanismos de proteção já adotados pelo GitHub, como exigência de verificação de dispositivo baseado em email e suporte a chaves de segurança WebAuthn.

Para quem já quer usar a autenticação em dois fatores, um jeito fácil de fazer isso é baixando o aplicativo GitHub Mobile, disponível para iOS e Android. No início do ano, o app recebeu uma função que facilita o uso de 2FA. Para ativá-la, é necessário já ter esse tipo de autenticação funcionando em sua conta.

O GitHub observa ainda que organizações ou empresas com contas na plataforma também podem exigir que seus membros ativem a 2FA.

Receba mais notícias do Tecnoblog na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Emerson Alecrim

Emerson Alecrim

Repórter

Emerson Alecrim cobre tecnologia desde 2001 e entrou para o Tecnoblog em 2013, se especializando na cobertura de temas como hardware, sistemas operacionais e negócios. Formado em ciência da computação, seguiu carreira em comunicação, sempre mantendo a tecnologia como base. Em 2022, foi reconhecido no Prêmio ESET de Segurança em Informação. Em 2023, foi reconhecido no Prêmio Especialistas, em eletroeletrônicos. Participa do Tecnocast, já passou pelo TechTudo e mantém o site Infowester.

Relacionados

Microsoft e OpenAI rebatem ação que acusa IA do GitHub de violar copyright
Microsoft e OpenAI rebatem ação que acusa IA do GitHub de violar copyright
Brasil se destaca no GitHub com mais de 3 milhões de desenvolvedores ativos
Brasil se destaca no GitHub com mais de 3 milhões de desenvolvedores ativos
Faturando US$ 1 bilhão por ano, GitHub segue independente na Microsoft
Faturando US$ 1 bilhão por ano, GitHub segue independente na Microsoft
GitHub libera de vez o Copilot Chat, ferramenta que ajuda a programar
GitHub libera de vez o Copilot Chat, ferramenta que ajuda a programar
IA do GitHub alerta e corrige vulnerabilidades em códigos
IA do GitHub alerta e corrige vulnerabilidades em códigos
GitHub Copilot é oficial: ferramenta de IA sugere código a desenvolvedores
GitHub Copilot é oficial: ferramenta de IA sugere código a desenvolvedores
GitHub leva recurso de IA que sugere código a desenvolvedores para empresas
GitHub leva recurso de IA que sugere código a desenvolvedores para empresas
Programa do GitHub para apoio financeiro a desenvolvedores chega ao Brasil
Programa do GitHub para apoio financeiro a desenvolvedores chega ao Brasil
IA do GitHub que sugere código causa polêmica sobre direitos autorais
IA do GitHub que sugere código causa polêmica sobre direitos autorais
O que é e como usar autenticação de dois fatores
O que é e como usar autenticação de dois fatores